パスワードを忘れた? アカウント作成

15449986 story
政府

行政手続きに使われる「xID」がマイナンバー法違反の指摘。これを受け自治体でアプリ利用停止へ 57

ストーリー by nagazou
統合しました 部門より
自治体などの行政手続きで利用されているデジタルIDサービス「xID」に、法的な問題があるとして自治体の利用停止の動きが広がっているようだ(高木浩光@自宅の日記読売新聞なか2656のblog)。

xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。

マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。

xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。
15449960 story
政府

総務省、郵便局が顧客データを企業に販売できるよう法改正へ 65

ストーリー by nagazou
転居届のNHK通知も問題視されてるのに 部門より
あるAnonymous Coward 曰く、

総務省は日本郵政が顧客のデータを企業に販売できるように法改正を目指しており、そのため個人情報保護ガイドラインを来年夏までに見直すことがわかった(産経新聞)。

日本郵政グループは郵便物の配達状況から全国各地の住所について居住実態・自動車の保有状況・店舗の開店閉店情報などを把握している。
今後、その居住者情報を災害時に自治体に提供することで安否確認に利用したり、自動車保有状況をデータベース化して自動車販売ディーラーに販売し営業に利用してもらうなどの新規事業を想定している。

郵便配達という誰しもが利用しているサービスが個人情報を吸い上げ売り物にする、というのはいささかセンシティブで議論の余地がありそうだ。せめて各顧客の同意を得てからでないとダメなのでは?

なおこうした総務省の方針に対して、高木浩光氏は郵便局員への住民の見方が変わってしまう点や住居侵入などの犯罪に当たる可能性があるといった問題提起を行っている(高木浩光氏のツイート)。

15448778 story
医療

Medtronic、リプレイ攻撃が可能なインスリンポンプ用リモコンを米国で全品回収 5

ストーリー by nagazou
リコール 部門より
headless 曰く、

Medtronic がインスリンポンプ用リモートコントローラーの緊急リコールを米国で発表している(Medtronic の通知FDA のリコール情報CISA のアドバイザリーHackRead の記事)。

対象となるリモートコントローラーはインスリンポンプ MiniMed 508 用の MMT-500 および MiniMed Paradigm ファミリー用の MMT-503 で、2 件の脆弱性 (CVE-2018-10634 / CVE-2018-14781) により攻撃者がユーザーに対しインスリンの追加注入 (ボーラス) を実行できる。CVE-2018-10634 はセンシティブな情報を平文で送信する脆弱性で、CVE-2018-14781 はキャプチャ-リプレイによる認証のバイパスが可能な脆弱性だ。

脆弱性は 2018 年に報告され、Medtronic はリコールを発表したが、これらのデバイスが旧型ということもあって対応は緩和策の紹介にとどまり、インスリンポンプ本体が保証期間内のユーザーにのみ通知していた。しかし、その後の調査でリモートコントローラーを使用する利点を上回るリスクが判明したことから、全ユーザーに使用中止を呼び掛け、製品回収を実施することにしたという。米食品医薬品局 (FDA) の区分では最も深刻な Class I のリコールとなっている。

実際に攻撃が成立するのは、ターゲットとなるユーザー側でポンプのリモート操作オプションを有効 (デフォルトでは無効) にしてリモートコントロール ID を登録し、リモートボーラスをオンにして注入量を設定している場合だ。これにより、攻撃者はポンプとリモートコントローラーが通信する電波の到達範囲内で信号を記録・再生することで攻撃を実行できる。ただし、ユーザーにはリモートボーラス実行が通知されるため、攻撃に気付かれる可能性もある。なお、MiniMed Paradigm の簡易マニュアル (PDF) によると、日本ではリモートオプション自体が使用できないようだ。

ちなみに、MiniMed 508およびMiniMed Paradigm では近距離から認証なく無線アクセスが可能な脆弱性が 2019 年に見つかっており、米国でリコールが行われている。

15447520 story
お金

年金振込通知はがきで手動両面印刷のミス、ミスに気付きにくい仕様が偶然にも個人情報流出を回避 46

ストーリー by nagazou
印刷ミス 部門より
年金の振込通知書に、他人の年金の金額などが記載されたまま送付されるというトラブルがが発生したそうだ。こうした誤記があったのは愛知県と三重県、福岡県の53の市区町村の10月分の振込通知書。97万2023人に発送されたとしている(日本年金機構メーテレ朝日新聞朝日新聞その2)。

委託業者の印刷ミスが原因で、日本年金機構によれば個人情報の流出はないとしている。誤記の項目は年金の種類に加え、2カ月分(8、9月)の年金額や個人ごとに違う基礎年金番号、振込先の金融機関名と支店名とされている。氏名や口座番号は含まれていない。原因は表と裏で別の人の情報を印字したオペレートミスだった。年金機構は今月15日の支払いに関しては「正しい金額で支払われるので安心してほしい」としている。通知書に関しては正しい内容のものを再送付するという。なお再発送費用は計5千万円以上になる見込みとのこと。
15445803 story
MacOSX

macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 51

ストーリー by nagazou
解凍 部門より
NFLabsの記事によれば、macOSで作られた暗号化zipファイルは、特定の二つの条件を満たすとパスワード無しで簡単に解凍できるのだそうだ。その条件の一つはzipの暗号化方式がzipcryptoであること、二つ目はzip内のディレクトリの中身が.DS_Storeファイル+何らかのファイルが1個であるといった条件だという(NFLabs)。

細かい仕組みに関しては元記事を見ていただきたいが、結論としてはシステム構成に関する情報が含まれる「.DS_Store」ファイルを利用するもので、zipファイル内の.DS_Storeを既知平文攻撃を外部ツールを利用して行うことにより、暗号化zipファイルをパスワード無しで解凍できるとしている。
15444769 story
spam

Apple、App Storeでアプリの問題を容易に報告可能にする 12

ストーリー by headless
報告 部門より
Apple は 6 日、App Store でアプリの問題を容易に報告できるようにするリンクのロールアウトを開発者向け更新情報で発表した (News and Updates9to5Mac の記事)。

リンクが表示されるのは iOS 15 / iPadOS 15 / macOS Monterey 上の App Store で、アプリの情報ページから直接問題を報告できるようになる。この機能は現在のところオーストラリア・カナダ・ニュージーランド・米国のユーザーに提供されており、いずれは他の地域でも利用可能にする計画だという。

また、reportaproblem.apple.com から報告する問題の種類として詐欺的なアプリや侮蔑的・違法なコンテンツを選択可能になっており、アプリ内購入を提供しない無料アプリでも問題を報告できるようになったとのこと。この変更は全世界のユーザーに適用される。

問題が報告された場合は Apple が調査を行い、App Store Review ガイドライン違反が確認された場合には開発者に修正を求める。故意の違反が疑われる場合には開発者に通知し、アプリの削除やガイドライン 5.6 に従った開発者アカウントの停止などの措置を行うとのこと。

また、6 月のガイドライン改訂では 5.1.1 (v) に「アカウントの作成に対応したAppの場合は、App内でアカウントの削除もできるようにする必要があります」という文言が追加されており、2022 年 1 月 31 日以降に提出されるアプリに義務付けを適用開始することも同日発表された (News and Updates [2]Mac Rumors の記事)。
15442707 story
情報漏洩

動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 11

ストーリー by nagazou
流出 部門より
Amazon傘下のゲーム実況配信配信サイト「Twitch」が外部からハッキングされ、大規模な情報漏洩が発生している。犯行を行った人物は、Twitch全般に対して不満を持っていたとみられており、批判のコメントとジェフ・ベゾス氏を揶揄するような画像とともに流出したデータのリンクを「4chan」上にリンク(削除済み)したとしている(VGCGame Spark ITmedia日経新聞)。

Twitchの運営会社である米Video Games Chronicleはデータが本物であることを認めているという。今回、流出した情報の中には、Twitch自体に関連するソースコードや、動画配信者に支払われた金額、独自SDKと内部AWSサービス、Amazonが準備していたSteam対抗サービスのソースコード、セキュリティツールなどが含まれ、そのデータサイズは約125GBにも及ぶとしている。各メディアではTwitchユーザーにはパスワードの変更などを行うといった対策を推奨している。
15441711 story
インターネット

Let's Encryptの9月末のルートCA証明書期限切れ、複数サイトで影響発生 26

ストーリー by nagazou
やはり発生 部門より

以前から問題となっているLet's Encryptのルート証明書「DST Root CA X3」問題だが、ZDNetの記事によると、この証明書が9月30日に期限切れになったことにより、多くのウェブサイトやサービスに問題が起きているそうだ。Security Headersの創業者Scott Helme氏の調査によると以下のサイトで影響があったとしている(ZDNetTECH+)。

Palo Alto、Bluecoat、Cisco Umbrella、Catchpoint、Guardian Firewall、Monday.com、PFsense、Google Cloud Monitoring、Azure Application Gateway、OVH、Auth0、Shopify、Xero、QuickBooks、Fortinet、Heroku、Rocket League、InstaPage、Ledger、Netlify、Cloudflare Pages

15437694 story
統計

企業で使われている Windows デバイスの半数以上が Windows 11 のシステム要件を満たさない 107

ストーリー by nagazou
問題はWin10のサポート終了後 部門より
headless 曰く、

Lansweeper の推計によると、企業で使われている Windows デバイスの半数以上が自動更新で Windows 11 にアップグレードできないそうだ (Lansweeper のブログ記事The Register の記事)。

推計値は 6 万件の組織で使われている Windows デバイス 3,000 万台のデータを元にしたものだ。ワークステーションの 91.05 % が Windows 11 の RAM 要件を満たす一方で、CPU 要件を満たすのは 44.4 %、TPM 要件を満たすのは 52.55 % に過ぎないという。ただし、TPM を搭載しているものの互換性がないか、有効になっていないワークステーションも 28.19 % あり、まったく TPM 要件を満たさないのは 19.26 % となっている。

仮想マシンのワークステーションでは 44.9 % が CPU 要件を満たす一方、RAM 要件を満たすのは 66.4 % にとどまり、99.74 % で TPM が有効になっていない。ただし、Windows ではこれまで TPM が要件になったことがなく、仮想マシンでも TPM パススルーにより TPM が利用できるもののほとんど使われていなかったため、驚くべき結果ではないとのこと。

サーバーで TPM が有効になっているものはほとんどなく、今後 Microsoft が Windows Server に Windows 11 と同じ要件を設定した場合、大半がそのままではアップグレードできないことになるとのことだ。

15437710 story
お金

三井住友銀行、死後時などに指定した親族らにSNSなど各種ID・パスワードを遺せるサービス 54

ストーリー by nagazou
SNS側の規約に引っかかる可能性はありそう 部門より
三井住友銀行は終活向けサービスとして、利用している資産や葬儀の希望に関する遺言などやSNSやECサイトのID・パスワードを遺族に残すためのサービス「SMBCデジタルセーフティボックス」を10月1日から提供し始めた。利用料金は2022年2月までの利用は無料でそれ以後は月額990円(三井住友銀行リリースSMBCデジタルセーフティボックス 商品説明書(お客さま用)[PDF]ITmedia)。

このサービスでは、テキストベースで様々な情報を登録できる。指定したタイミングや相続発生時などに、事前に指定した受取人にのみ内容が閲覧できる仕組み。ただ現時点の機能一覧を見る限り、2月以降の正式リリースにならないと情報の登録は三井住友銀行の情報端末でしか行えない模様。受取人に関しては、PCやタブレット・スマートフォン等で情報を見ることができるようだ。24時間利用可能となっているが、毎週日曜日の21時~翌月曜日7時まではシステムメンテナンスのため利用停止になるとしている。
15437684 story
アップル

AirTagの紛失モードには悪意あるサイトへ誘導する脆弱性がある 14

ストーリー by nagazou
割に合わないとは思うが 部門より
紛失防止タグ「AirTag」には、落としたときのために紛失モードという機能が用意されているが、この機能をフィッシング詐欺に悪用される可能性が指摘されている。AirTagを紛失モードに設定すると、専用のURLが生成され、AirTagの持ち主は連絡先として電話番号またはメールアドレスを登録できる。落としたAirTagを拾った人がNFC対応のスマートフォンで読み取ると、は持ち主の連絡先が分かるURLに誘導される仕組み。このとき、ログインしたり個人情報を入力するといった必要はない(Krebs on SecurityEngadget)。

しかし、米セキュリティ情報サイトの「Krebs on Security」によると、この登録可能な連絡先の電話番号フィールドには、任意のコンピュータコードを挿入できる。このため拾った人が偽のiCloudログインページや悪意のあるWebサイトにリダイレクトされてしまう可能性があるそうだ。偽サイトなどに誘導し、AirTagを拾った人のが個人情報を抜かれてしまう可能性があるらしい。
15437201 story
お金

Apple Pay の交通系 IC カード決済機能を悪用し、ロックされた状態の iPhone で不正に決済を行う手法 28

ストーリー by headless
不正 部門より
英バーミンガム大学とサリー大学の研究チームが Apple Pay と Visa の脆弱性を組み合わせ、iPhone のロックを解除しないまま不正な非接触決済を実行する手法を発表している (バーミンガム大学のニュース記事研究成果9to5Mac の記事The Telegraph の記事)。

この手法は iPhone や Apple Watch を交通系 IC カードとして運賃支払いに使用するエクスプレスカード (英国では Express Travel) 機能を悪用するものだ。通常の Apple Pay 決済では端末のロック解除などユーザーの操作が必要だが、エクスプレスカードによる決済では必要ない。そのため、中間者攻撃により iPhone と交通系 IC カード決済端末との通信内容を一部改変し、一般の店舗で使用する EMV 非接触決済端末に中継することで、 iPhone をロックしたまま店舗での支払いを実行させることが可能になる。

具体的には偽の交通系 IC カード決済端末でターゲットの iPhone に接続し、カードエミュレーターを実行するスマートフォンに通信内容を中継する。あとは EMV 非接触決済端末にスマートフォンのカードエミュレーターを近付ければ、決済が行われて店舗の口座に入金されるという仕組みだ。

この攻撃は Apple Pay と Visa の組み合わせのみで成立し、Apple Pay と Mastercard の組み合わせや、Samsung Pay と Visa の組み合わせでは成立しないとのこと。しかし、Visa と Apple はこの攻撃が現実的なものではなく、不正利用の被害は Visa が補償するため、安全性に問題はないと述べているとのことだ。
15434867 story
犯罪

CIA、ジュリアン・アサンジ氏の拉致や殺害を計画していた 45

ストーリー by nagazou
やってたらテロ扱いされてただろうな 部門より
headless 曰く、

米中央情報局 (CIA) はトランプ政権下の 2017 年、ジュリアン・アサンジ氏の拉致や殺害の計画を立てていたそうだ( Yahoo! News の記事The Verge の記事 )。

アサンジ氏は 2010 年に英国・ロンドンで逮捕されたが、保釈中の 2012 年に政治亡命を求めて在英エクアドル大使館に入り、2019 年に保釈中の逃亡罪で逮捕されるまで滞在し続けた。その間英警察はアサンジ氏が大使館から一歩でも出れば逮捕しようと待ち構えており、拉致や殺害など現実的な話ではなかった。

しかし、当時 CIA 局長に就任したばかりのマイク・ポンペオ氏を始め、CIA 上層部は WikiLeaks が CIA のハッキングツールを公開するプロジェクト「Vault 7」 に恥をかかされて冷静さを失っていたのだという。この計画は違法なだけでなく、アサンジ氏の訴追にも影響するとの懸念もあり、ホワイトハウスの法務チームの反対もあって最終的に実行は承認されなかったとみられる。さらにロシアがアサンジ氏をモスクワに逃がそうとしているとの情報が入り、CIA は計画変更を余儀なくされる。

その結果、エクアドル大使館の周囲にはアサンジ氏を逃がそうとするロシアとそれを防ごうとする米英の情報機関が集まり、半径3ブロック以内にいるすべての人は3国いずれかの情報機関関係者ともいわれる状況になっていたという。ただしアサンジ氏が実際に大使館を抜け出すことはなく、2019 年 4 月にロンドン警視庁が大使館内でアサンジ氏を逮捕している。

15432637 story
地球

日本で塩素消毒が開始されて百年 51

ストーリー by nagazou
百式 部門より
pongchang 曰く、

大正10年に後藤新平が水道に塩素消毒を加えて2021年で100年目になる。2021年10月4日(月)に標記公開シンポジウムが国立保健医療科学院生活環境研究部と東大水フォーラムの共催で開催される(飲料水安全対策情報)。

東京では、1900年頃からろ過した水道が給水されていたが、全国で年間10万人程度の水系感染症の患者発生があり、世の中が大きな不安に陥れられていた。1921年に民生用として水道水の殺菌に転用されこの頃を境に東京の乳幼児死亡率が改善した(浅見真理氏のnote)

15432497 story
交通

デルタ航空、航空会社間での搭乗拒否リスト共有を提案 54

ストーリー by nagazou
共有 部門より
headless 曰く、

デルタ航空が他の航空会社に搭乗拒否リストの共有を呼び掛けているそうだ (プレスリリースThe Verge の記事)。

デルタが公開した 2 通の内部メモによると、同社はスタッフに対する乗客の暴力を許容することなく、物理的な危害を加えようとした乗客を搭乗拒否リストに追加しているそうだ。搭乗拒否リストには 1,600 人以上が掲載されており、今年はそのうち 600 人以上の名前を米連邦航空局 (FAA) の特別重点執行プログラムに送信しているとのこと。

しかし、現状では航空会社が個別に搭乗拒否リストを維持しており、禁止された乗客が他の航空会社を利用すれば効果が薄れる。そのため、デルタでは業界全体でスタッフを守る取り組みとして搭乗拒否リストの共有を提案しているとのことだ。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...